Nach Stand der Ermittlungen gab es zwei Angreifergruppen. Die Erpressung und Attacke auf ProtonMails IP-Adresse ging vom Armada Collective aus, das zuletzt mehrere Schweizer Firmen erpresst hat. Zusätzlich setzte ein weit raffinierterer Angriff bei Schwachstellen von ProtonMails ISP an. weiter
Die britische Regierung plant ein Verbot jeglicher Ende-zu-Ende-Verschlüsselung. Apple nutzt diese Technik unter anderem für iMessage und Facetime. Das Gesetzesvorhaben an sich bezeichnet Jimmy Wales als "dumm". weiter
Die App bietet Ende-zu-Ende-Verschlüsselung für Textnachrichten und Telefonate. Sie ersetzt die Einzelanwendungen RedPhone und TextSecure für Android. Der Whistleblower Edward Snowden nutzt nach eigenen Angaben Signal täglich. weiter
Sie basiert auf Mozillas Instantbird und liegt für Windows, OS X und Linux vor. Der Tor Messenger unterstützt Jabber und IRC sowie Facebook Chat und Google Talk. Off-the-Record Messaging soll zudem für ein hohes Maß an Sicherheit und Privatsphäre sorgen. weiter
.onion ist nun die offizielle Kennung für Domains im Anonymisierungsnetzwerk Tor. Damit ist auch ein Verkauf der TLD durch die ICANN ausgeschlossen. Das Tor Project spricht von einem wichtigen Meilenstein für die Privatsphäre im Internet. weiter
Ein Mitarbeiter hatte Testzertifikate unter anderem für Google-Domains missbraucht. Symantec nannte zunächst weitaus zu tief gegriffene Zahlen. Google fordert nun umfängliche Aufklärung über den Fall. Andernfalls will es in Chrome vor Websites mit Symantec-Zertifikat warnen. weiter
Sie sollen Kunden unter anderem vor Advanced Persistent Threats schützen. Neu ist auch eine integrierte Management-Lösung für Switches der X-Serie. Die Cloud Edition der Datensicherheitslösung Dell Data Protection unterstützt nun Box und Dropbox. weiter
Apple teilt einem US-Bundesrichter mit, dass es ab iOS 8 nicht auf die verschlüsselten Nutzerdaten eines mit Passcode gesicherten iPhones zugreifen kann. Bei älteren Versionen des Betriebssystems hingegen wäre es teilweise möglich. Das US-Justizministerium verlangt Apples Hilfe ohne klare rechtliche Grundlage. weiter
Die Anforderung gilt allerdings nur für Geräte, die eine AES-Verschlüsselung mit mindestens 50 MByte/s unterstützen. Auch vorhandene Geräte, die auf Android 6.0 aktualisiert werden, sind ausgenommen. Eigentlich wollte Google schon ab Herbst 2014 alle Android-Geräte ab Werk verschlüsseln. weiter
Sie nutzen die Zertifikate für die Legitimierung von Phishing-Websites. Unter anderem stellen Symantec, GoDaddy und Comodo Zertifikate offenbar ohne eine gründliche Prüfung aus. NetCraft zufolge wurden in einem Monat Hunderte "betrügerische" Zertifikate ausgegeben. weiter
Die Fehler stecken in der Version 45 und früher. Sie erlauben das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox. Chrome 46 behandelt unvollständig verschlüsselte Websites nun wie unverschlüsselte Seiten. weiter
Die Anfälligkeiten erlauben eine nicht autorisierte Ausweitung von Nutzerrechten. Sie stecken im Windows-Treiber von TrueCrypt. Ein Patch steht allerdings nur für den TrueCrypt-Nachfolger VeraCrypt zur Verfügung. weiter
Die Channels sind ein neues Tool für den gleichzeitigen Versand von Nachrichten an eine größere Zahl von Empfängern. Laut Telegram-Gründer Pavel Durov werden über die Messenger-Plattform inzwischen 12 Milliarden Nachrichten täglich versandt. Auf der Konferenz TechCrunch Disrupt hebt er Verschlüsselung und Privacy als wesentliche Vorteile von Telegram hervor. weiter
Websitebetreiber können es für Verschlüsselung einsetzen und ihre Domains einfach auf HTTPS umstellen. Bisher stufen Browser es von Haus aus aber nicht als vertrauenswürdig ein. Daher muss in der Client-Software derzeit noch ein Root-Zertifikat installiert werden. weiter
Die Electronic Frontier Foundation sieht die nach weniger als 24 Stunden abgebrochene Wikipedia-Sperre in Russland als Beleg. Eine "Welle der Panik" unter russischen Webnutzern sorgte letzte Woche für ein Einlenken der Zensurbehörde. Auch China war mit einer GitHub-Sperre gescheitert, die sich eigentlich nur gegen einige Verzeichnisse richten sollte. weiter
Sie funktioniert im Browser über das quelloffene Mailvelope-Plug-in oder mit den Mobile-Apps der Mail-Anbieter. Durch die einfache Einrichtung können auch technische Laien die Verschlüsselung auf allen gängigen Endgeräten nutzen. Öffentliche Schlüssel werden in einem gepflegten Verzeichnis abgelegt. weiter
Die Carnegie Mellon University zeichnete Transaktionen auf 35 Marktplätzen von 2013 bis Anfang 2015 auf. Ihre Erkenntnisse: Schließungen einzelner Marktplätze wie Silk Road oder Evolution bringen kaum etwas. 70 Prozent der Händler machen unter 1000 Dollar Jahresumsatz, weiter
Provider sollen BES-Zugriffsverträge aufkündigen und bis spätestens 30. November komplett abschalten. Der Staat will so die problematische Sicherheitslage besser in den Griff bekommen. Er befürchtet, dass Terroristen über Blackberry-Services kommunizieren. weiter
Es wurde an der Universität Luxemburg entwickelt. Bis Ende des dritten Quartals wollen Erfinder und Juroren nun eine finale Version samt Referenzimplementierung in C schaffen. Vier weitere Hashing-Algorithmen werden für besondere Stärken empfohlen. weiter
Forscher kommen innerhalb von 52 Stunden an die Daten eines verschlüsselten Cookies. Anschließend können sie sich im Namen eines Opfers bei einer Website anmelden. Bisher benötigten die Forscher etwa 2000 Stunden, um eine RC4-Verschlüsselung zu knacken. weiter
Die Schwachstelle steckt nur in den Versionen 1.0.1n, 1.0.1o, 1.0.2b und 1.0.2c. Sie sind erst seit wenigen Wochen erhältlich und von daher nicht sehr weit verbreitet. Ein Angreifer könnte ein gefälschtes Zertifikat benutzen, um eine manipulierte Website als legitime Seite auszugeben. weiter
Sie steckt in der Versionen 1.0.1 und 1.0.2. Die Lücke kann unter Umständen für Denial-of-Service-Angriffe oder das Einschleusen und Ausführen von Schadcode ausgenutzt werden. Am Donnerstag stellt das OpenSSL Project einen Patch für die Schwachstelle zur Verfügung. weiter
Die aufgrund eines Stabilitätsproblems verspätete Final des Mozilla-Browsers unterstützt nicht mehr das SSL-3.0-Protokoll und verzichtet größtenteils auch auf RC4-Verschlüsselung. Der Malware-Schutz für Downloads ist nun zusätzlich in Firefox für OS X und Linux integriert. weiter
Anders als etwa bei der von den De-Mail-Anbietern eingesetzten Lösung wird kein Browser-Plug-in benötigt. Der neue Service ist für alle Kunden des Berliner E-Mail-Anbieters ohne Aufpreis und Software-Installation nutzbar. Er erlaubt die Einrichtung eines PGP-Schlüssels mit nur einem Klick. weiter
s2n beschränkt sich auf die eigentliche Verschlüsselung und kann somit eine der zwei Hauptbibliotheken von OpenSSL ersetzen. Einige selten genutzte Optionen und Erweiterungen wurden weggelassen. So kommt es auf nur 6000 Zeilen Code, wo OpenSSL bisher 70.000 benötigte. weiter
Es sind die Entwicklung eines quelloffenen Systems für automatische Tests, die Initiative Reproducible Builds und das Fuzzing Project des Sicherheitsforschers Hanno Böck. Zusätzlich wurde mit Emily Ratliff eine erfahrene Leiterin der CII eingestellt. weiter
Vorher soll ein Probelauf mit eingeschränkt nutzbaren Zertifikaten dafür sorgen, dass der öffentliche Start problemlos verläuft. Ab Mitte September will die Zertifizierungsstelle von IdenTrust gegengezeichnete Signaturen ausgeben, die von verbreiteten Webbrowsern als vertrauenswürdig erkannt werden. Die kostenlosen Zertifikate sollen die Umstellung auf TSL-Verschlüsselung vorantreiben. weiter
Google hatte sich 2011 für diesen Schritt entschieden. Yahoo folgte 2013 nach. Somit erhalten Webmaster bei Bing-Verweisen künftig auch keine Suchbegriffe mehr übermittelt. In den Webmaster-Tools stellt Microsoft aber anonymisierte Statistiken bereit. weiter
Sie erbeuten offenbar E-Mail-Adressen und Authentifizierungs-Hashes. Laut LastPass haben die unbekannten Täter aber keine verschlüsselten Nutzerdaten entwendet. Trotzdem fordert das Unternehmen alle seine Nutzer auf, ihr Master-Passwort zu ändern. weiter
Verschlüsselte Übertragung ist jetzt für alle Anwender Standard. Strict Transport Security verhindert zudem ein Ausweichen auf ältere Protokollversionen. Auch die US-Regierung führt HTTPS für Bundes-Websites ein, benötigt dafür aber voraussichtlich bis Ende 2016. weiter
